:
Merci, monsieur le président.
Mesdames et messieurs, bonjour.
Pour commencer, laissez-moi vous féliciter d'avoir pris la décision de traiter de l'important sujet qu'est le vol d'identité au Canada. Je vous remercie également de m'avoir invité. Cela me permet de présenter ce problème dans une perspective différente et de démontrer de quelle façon il est relié à d'autres problèmes qui touchent les Canadiens.
[Traduction]
Permettez-moi aussi de vous féliciter pour l’heureuse coïncidence et votre impeccable sens de l’opportunité, surtout compte tenu des événements des dernières semaines concernant la vulnérabilité Heartbleed. Quand j’ai reçu l’invitation à comparaître devant le comité, quelques jours à peine après ces événements, je me suis dit que ces parlementaires étaient très, très rapides à réagir ou peut-être qu’ils connaissant déjà quelque chose sur ce bogue que je ne connaissais pas.
Comme vous le savez, le bogue Heartbleed a touché les serveurs Web de l’Agence du revenu du Canada, ou ARC, et, malgré les efforts inlassables des professionnels des TI du gouvernement — efforts qui méritent d'être félicités —, ce bogue a mené à la divulgation non autorisée d’au moins 900 numéros d’assurance sociale de contribuables canadiens.
Cela souligne le risque réel posé par notre infrastructure de TI pour les Canadiens en matière de vol d’identité. Oui, des événements comme ceux-ci et l’intérêt médiatique qu’ils suscitent offrent d'excellentes occasions, à des experts comme moi, de transmettre le message. Cependant, il arrive que l’attention médiatique et la façon dont l’histoire se développe aient un effet contraire et distraire le public des enjeux vraiment importants.
L’intérêt de l’histoire de Heartbleed n’est pas dans le petit jeune calé en informatique qui a été arrêté par la GRC à London il y a deux semaines, et qui est soupçonné d’avoir piraté les serveurs de l’ARC. C’est l’histoire d’un bogue qui a touché deux serveurs Web sur trois sur toute la planète. Et le temps que ce jeune ait pu s’amuser avec les serveurs de l’ARC, la vulnérabilité a probablement déjà été exploitée par des dizaines de milliers, voire des centaines de milliers de pirates informatiques partout au monde. L’histoire de Heartbleed, c’est celle de l’état pitoyable de notre infrastructure de l’information et de la façon dont nous l’avons laissé se détériorer jusqu’à ce point.
Mais quel est le lien avec le vol d’identité, vous vous demandez. Oui, effectivement, les numéros d’assurance sociale dévoilés pourraient être utilisés par des criminels pour reconstruire assez de données personnelles afin d'effectuer des activités frauduleuses en se faisant passer pour les victimes — des activités telles que des transactions bancaires frauduleuses, la destruction des antécédents en matière de crédit et l’accès non autorisé à des comptes de courriel et de réseaux sociaux.
D’autres personnes invitées à témoigner devant le comité vont certainement parler des divers effets pervers du vol d’identité sur les Canadiens et les entreprises canadiennes. Mais ce que je suis venu vous dire ici aujourd’hui, peut-être à votre surprise, c’est que le vol d’identité n’est pas le problème. C’en est un parmi tant d'autres, et je dirais même que c'est probablement un des moins importants. Ce n’est que la pointe visible de l’iceberg. C’est peut-être le problème pour lequel vos électeurs appellent à vos bureaux de circonscription, mais ce n’est pas le plus gros des problèmes de TI qui les menace: c’est seulement celui qu’ils connaissent, car il les touche plus directement.
Quel est le problème alors? Ou plutôt, quels sont les plus gros problèmes qui devraient nous préoccuper aussi? C’est facile: la menace imminente que présentent le cybercrime, le cyberespionnage et le cybersabotage.
Mes collègues Benoît Dupont et Susan Sproule vont certainement pouvoir vous donner des chiffres plus complets sur le cybercrime, et le vol d’identité en particulier. Mais permettez-moi de vous donner quelques exemples, en ma qualité d’ingénieur: certains experts crédibles évaluent les coûts totaux reliés au cybercrime à plusieurs centaines de milliards de dollars par année. Au Canada, Symantec évalue les pertes à 3 milliards de dollars, en 2013 seulement. Cela représente 60 % du budget de la ville de Montréal, où j’habite et qui en trouverait l’utilité, c’est sûr.
Les cybercriminels utilisent des ordinateurs infectés dans les entreprises, les bureaux gouvernementaux et les domiciles d’usagers non avertis afin de générer un profit par divers moyens: fraude bancaire par Internet, le plus commun, mais aussi fraude publicitaire par Internet, extorsion et des formes traditionnelles de fraude et d’escroquerie.
Le cybercrime se porte très bien. C’est une industrie de croissance avec des ramifications internationales, qui met en jeu un réseau complexe de groupes criminels organisés qui travaillent ensemble. Pour vous donner une idée de l'ampleur du problème d'un point de vue technique, selon quelques sondages publiés par l’Union européenne, entre 30 et 35 % des utilisateurs sondés rapportent que leur ordinateur aurait été infecté dans une période d’un an. Nous nous sommes dit que c'est là un petit peu d'exagération européenne. Nous étions tentés d'y voir une manifestation du sens européen de l'hyperbole.
À notre surprise, lors d'un essai clinique réalisé en 2012 à la Polytechnique auprès de 50 sujets utilisant leur propre ordinateur durant une période de quatre mois, nous avons découvert que 5 % ont été infectés par des logiciels malveillants dangereux et 20 % par des logiciels nuisibles, malgré l'installation d'un antivirus à jour.
De plus, notre analyse a démontré que 38 % des usagers auraient été infectés par une forme de logiciel nuisible si aucun antivirus n’avait été installé. La contamination toucherait donc l’ordinateur de deux Canadiens sur cinq.
Finalement, ces Européens n’avaient pas tort. Au-delà de son seul impact économique, le cybercrime pose un autre problème, du fait qu'il génère des profits faramineux. Les cybercriminels investissent cet argent dans la recherche et le développement. Ils mettent au point des outils et des techniques de piratage qui bafouent les experts en sécurité informatique de l'industrie. Les cybercriminels ont plus d'argent que nous. Leur budget de recherche est probablement plus élevé que le mien à la Polytechnique. En fait, leurs investissements totaux en recherche et développement sont probablement plus importants que ceux de toute l’industrie de la sécurité informatique. Nous sommes donc en train de perdre la bataille. Il y a une course à l’armement. C’est un fait communément accepté, mais rarement admis en public: nous sommes effectivement en train de perdre la guerre contre les cybercriminels d'un point de vue technique.
Mais pourquoi devrions-nous nous préoccuper autant du cybercrime? Relativement peu de Canadiens sont touchés. Les pertes financières représentent un faible pourcentage et, de toute façon, on est généralement remboursé par la banque. Eh bien, les banques commencent à ne pas payer, ce qui est très bien pour moi, car ça me donne l’occasion d’aller à la cour et d’expliquer aux juges pourquoi, dans certains cas, les banques devraient payer. Mais c'est inquiétant pour les Canadiens, parce qu'on constate que la tendance commence à s'inverser. Plus cela va, plus je constate que ces cas sont fréquents.
De plus, le cybercrime ne peut se comparer aux autres fléaux de notre temps, comme le cancer, le chômage, le réchauffement de la planète, les accidents d'automobile, etc. Alors, pourquoi s'en faire? Personne n'en meurt.
Le problème est que l'avantage technologique obtenu par les cybercriminels sert maintenant à d'autres fins. Le premier phénomène dans le temps, et le plus marquant d'un point de vue politique, a été la pornographie juvénile. Les pédopornographes ont évidemment commencé à utiliser Internet et les technologies de piratage à leur avantage dans les années 1990. Cela a mené à la mise sur pied d’équipes spécialisées au sein de la police. À la Polytechnique, nous avons aidé à créer un programme de formation destiné aux policiers.
Mais ce n'est même pas le plus gros problème. Ces dernières années, il est devenu apparent que la menace la plus importante est celle du cyberespionnage et le cybersabotage. Nous commençons à peine à découvrir à quel point des services de renseignement étrangers et des intérêts économiques étrangers se promènent sur les ordinateurs et serveurs du gouvernement canadien, des entreprises canadiennes et des citoyens canadiens depuis plus d’une décennie.
Peut-être que nous n’avons pas été oblitérés de la planète Internet par des attaques de déni de service, comme ce fut le cas pour l’Estonie et la Georgie en 2007 et 2008. Notre production d’uranium de qualité militaire n’a pas été interrompue par le cybersabotage, comme ce fut le cas pour l’Iran en 2010 — heureusement, parce que le Canada ne produit pas d'uranium de qualité militaire. Et, non, nos compagnies pétrolières n’ont pas eu à remplacer 30 000 ordinateurs, à l'instar de la compagnie saoudienne Aramco en 2012, après avoir été victime d'une attaque par des pirates « patriotiques » iraniens assoiffés de vengeance.
Nous n’avons pas été victimes de ces énormes attaques de métadonnées. Cependant, il n’y a pas eu pénurie d’incidents significatifs, et on commence à parler publiquement de certains d'entre eux. Ainsi, il est possible que l’ordinateur portatif du PDG de Nortel ait été compromis par des pirates chinois dès 2001. Qui, je vous le demande, a pris la place de Nortel comme deuxième plus grand fournisseur d’équipement de réseautique au monde?
Un autre incident récent a mis en cause le code source, c'est-à-dire la « sauce secrète » qui fait fonctionner certains des composants d'une infrastructure essentielle, dont l'infrastructure énergétique... La société Telvent, de Calgary, qui assure l'approvisionnement d'une bonne part de notre infrastructure essentielle, s'est fait dérober son code source à la suite d'un piratage informatique.
Ce n'est pas le vol d'identité qui m'empêche de dormir la nuit; c'est ceci. Imaginez un désastre comme la crise du verglas en 1998 dans le sud du Québec et de l'Ontario; j'y étais. Trois millions de Canadiens sans électricité pendant une semaine et plusieurs centaines de milliers d'entre eux sans électricité pendant près d'un mois en plein hiver. Imaginez que ceci n'était pas causé par un rare accident de la nature, mais plutôt par quelqu'un qui l'a déclenché à partir d'un ordinateur portatif, en un seul clic, et qui pourrait le faire à nouveau. C'est bien réel. Cela pourrait se produire. C'est pire que le vol d'identité. C'est du vol d'économie. C'est du vol de sécurité nationale. Clic, plus d'économie. Clic, plus de sécurité nationale. Clic, plus de possibilité de gouverner. Songez à quel point les Canadiens perdraient confiance en leur gouvernement.
Vous direz que ceci ne fait pas partie du mandat de votre comité, mais je rétorque que c'est assurément le mandat du gouvernement. Je suis sûr que vous avez des collègues députés qui siègent à d'autres comités tels que ceux chargés de la sécurité publique et nationale, de l'industrie, des sciences et de la technologie; alors, je vous encourage à leur parler et à travailler avec eux. La raison en est fort simple. Au bout du compte, il s'agit du même problème. Les causes profondes du vol d'identité, du cyberespionnage, du cybersabotage, peu importe, sont toutes les mêmes. Il s'agit en fait de la façon dont nous gérons l'infrastructure des TI. Nous avons fermé les yeux, car nous nous plongeons dans nos gadgets électroniques.
Quelles sont les causes que nous pouvons commencer à aborder?
Premièrement, nous devons nous rendre compte qu'il y a toujours eu des escrocs et qu'il y en aura toujours. Là où il y a de l'argent, il y a toujours des escrocs. Internet ne fait pas exception. Ils se sont simplement tournés vers Internet.
Deuxièmement, nous avons adopté des technologies informatiques et Internet et nous les avons utilisées à des fins pour lesquelles elles n'avaient jamais été conçues. Un cas d'espèce est le World Wide Web qui a été inventé par des chercheurs en Suisse afin d'avoir un moyen interactif d'échanger des données de recherche, mais 30 ans plus tard, il sert à l'économie mondiale. Là n'était pas le but. Les mécanismes de sécurité et de reddition de comptes appropriés n'ont pas été intégrés dans la conception.
Les solutions technologiques existent. Elles ont été développées. Elles existent. Nous les connaissons. Nous les enseignons dans les écoles de génie, mais les incitatifs pour les mettre en oeuvre semblent absents. C'est toujours pareil. L'apathie, l'ignorance et les intérêts privés ne sont pas dans l'intérêt supérieur du public et constituent un obstacle à l'amélioration de nos vies.
Troisièmement, sur le plan historique, l'industrie des technologies de l'information est toujours relativement immature et jeune. Il y a 30 ans, les ordinateurs étaient relativement isolés les uns des autres. Quelques excentriques comme moi avaient un ordinateur personnel. C'était une industrie improvisée et déréglementée, mais ça allait. Cette situation ressemble à celle de l'industrie automobile au début du XXe siècle. Il y avait peu de voitures sur les routes. Elles étaient très bruyantes, mais pas très rapides.
Il y a eu ensuite l'après-guerre, les folles années 1920; les automobiles sont devenues plus grosses et plus rapides, et c'est là que nous avons commencé à voir des accidents de voiture. Puis vint la Seconde Guerre mondiale, suivie du grand boom, des baby-boomers — en voilà l'origine —, parallèlement au boom automobile. Les autos étaient plus rapides, et on a construit de très grandes autoroutes au Canada et aux États-Unis. C'est ainsi que le problème explosa: des dizaines de milliers de décès par année. Il fallait agir, et c'est ce qui s'est passé.
Des normes d'ingénierie ont été appliquées à la fabrication et l'inspection des voitures et des pièces. Les ingénieurs devinrent les seuls à être autorisés à concevoir et à certifier des composantes essentielles. Les gouvernements partout dans le monde écrivirent et imposèrent des normes de sécurité obligatoires à l'industrie. Des codes de la route furent promulgués, et les permis de conduire et la formation pour le conducteur devinrent obligatoires. Les avocats se mirent à poursuivre en justice les conducteurs et les fabricants négligents. Même les compagnies d'assurance s'en mêlèrent et imposèrent leurs propres normes. C'est ainsi que les ceintures devinrent obligatoires et sécuritaires. Vinrent ensuite les amendements au Code criminel. La conduite avec facultés affaiblies devint un crime. On pouvait se faire incarcérer. Ce n'était pas le cas auparavant. Finalement, même la technologie et l'application de la loi s'arrimèrent pour mettre en oeuvre des technologies d'application telles que l'alcootest et les détecteurs de vitesse.
En comparaison, voici où nous en sommes actuellement dans l'industrie informatique. Nous nous retrouvons au début des années 1950. On a construit l'« autoroute de l'information », comme l'a nommée Al Gore, c'est-à-dire Internet, une voie qu'empruntent des millions et des millions d'utilisateurs tous les jours. Les voitures sont maintenant de grande taille — les ordinateurs —, et les gens s'en servent pour toutes sortes de choses. Elles sont toutes rutilantes, et nous voulons tous les modèles les plus récents et les plus à la mode. Notre économie et notre mode de vie en dépendent. En fait, nous sommes accros à la liberté que ces ordinateurs nous donnent de la même façon que nous sommes accros aux voitures. La différence, c'est que les « accidents d'ordinateur » ne font pas de victimes... du moins, pas encore. Mais cela viendra un jour; il suffit d'attendre.
[Français]
En conclusion, même si, pour s'attaquer aux causes profondes de ces problèmes, il faudra compter sur différents secteurs de la société, en l'occurrence les associations professionnelles, les éducateurs, l'industrie, la fonction publique et les agences de maintien de l'ordre, la responsabilité de nous sortir de ce marasme incombe surtout à vous, députés et membres du gouvernement, qui agissez à titre de législateurs.
Toutefois, vous n'êtes pas seuls. Nous, qui avons créé cette boîte de Pandore et vu d'autres l'ouvrir malgré nos avertissements, aimerions plus que tout vous aider à la refermer.
Je vous remercie de votre attention.
J'ai commencé à travailler dans le domaine du vol d'identité en 2005 dans le cadre d'un projet de recherche regroupant quatre universités et des experts en la matière du monde financier. Mon groupe avait la responsabilité de définir et de mesurer le vol d'identité. Pour ce qui est de la mesure, nous avons fait une étude exhaustive auprès de consommateurs canadiens en 2008, mais ces données sont trop vieilles pour avoir quelque valeur que ce soit aujourd'hui. Je vais donc plutôt mettre l'accent sur le problème de la définition et discuter par la suite de certaines des difficultés entourant la mesure des vols d'identité. J'espère que cela sera utile pour votre étude.
Avant d'en arriver à des définitions, nous avons commencé par essayer d'organiser certaines des activités qui revenaient souvent lorsqu'on discutait de vol d'identité. J'ai préparé un diagramme. Je ne sais pas si on vous l'a distribué, mais, essentiellement, au début nous avions recensé un certain nombre d'activités, qui décrivent différentes façons de recueillir de l'information sur l'identité. Au milieu, figuraient un certain nombre d'activités liées à l'établissement d'une fausse identité, des choses comme la contrefaçon de documents et la reproduction de documents. Ensuite, vers le bas, figuraient les crimes pouvant être perpétrés grâce à une fausse identité.
Nous cherchions tout simplement des définitions de travail sur lesquelles pouvaient s'entendre les divers groupes de recherche. Dans une série d'ateliers, nous avons décidé que le vol d'identité devrait englober toutes les façons illégales de recueillir de l'information ainsi que toutes les activités liées à l'élaboration d'une fausse identité. Il existe des activités préliminaires à une fraude.
Nous avons donc établi que la fraude liée au vol d'identité devait comprendre tous les crimes où l'utilisation d'une fausse identité faisait partie intégrante du crime. En d'autres mots, quelqu'un peut avoir recours à une fausse identité pour la contrebande de drogues, parce que cela serait utile si jamais cette personne était pincée, mais on peut tout de même s'adonner à cette activité sans avoir recours à une fausse identité; c'est pourquoi nous avons conclu qu'il ne s'agissait pas de fraude d'identité.
Je ne vous présenterai pas toutes les définitions officielles, mais nous avons été agréablement surpris de constater que nos définitions étaient finalement très semblables à celles établies par le ministère de la Justice du gouvernement fédéral en vue de la mesure législative portant sur le vol d'identité qui a été présentée en 2009.
Un des éléments clés découle du fait que le vol d'identité et la fraude d'identité sont deux problèmes distincts. Le vol d'identité est un problème de responsabilité personnelle ou organisationnelle, c'est-à-dire qu'il faut veiller à la sécurité des renseignements personnels que l'on détient. Par contre, la fraude d'identité est un problème d'authentification, c'est-à-dire qu'il faut être en mesure de déterminer que la personne qui présente une pièce d'identité est vraiment celle qu'elle prétend être.
Pourquoi cette distinction est-elle si importante? Et bien, parce que l'un peut avoir lieu sans l'autre, et vice versa. Le voleur d'identité et le fraudeur de pièce d'identité sont habituellement deux personnes différentes. En général, le voleur d'identité usurpe des renseignements d'identité et les vend au fraudeur. Nous avons remarqué que les cas de vol d'identité — entre autres, les cas d'atteinte à la sécurité des données — sont rarement liés aux cas de fraude d'identité, parce que l'information doit passer par une zone intermédiaire.
Essentiellement, cela nous aide à mettre l'accent sur les intérêts et les responsabilités des intervenants. Ainsi, en tant que propriétaire de l'identité, je peux contribuer à lutter contre certaines formes de vol d'identité. Je peux garder en lieu sûr les documents personnels qui contiennent des renseignements d'identité et ne pas divulguer inutilement de l'information personnelle. En fait, il m'est impossible d'empêcher la fraude de l'identité. Une fois que mon information est compromise, la seule chose que je peux faire, c'est d'en prendre connaissance et de le signaler dès que possible.
Mais, en tant que participante active à la vie d'aujourd'hui, je n'ai pas vraiment le choix de donner mon information personnelle à toutes sortes d'organisations. Ces organisations ont un rôle à jouer pour prévenir tant le vol d'identité que la fraude d'identité. Elles peuvent prévenir le vol d'identité en assurant la sécurité de tout renseignement personnel qu'elles possèdent. Elles peuvent empêcher la fraude d'identité en s'assurant qu'elles possèdent des processus d'authentification adéquats lorsqu'elles délivrent des pièces d'identité ou lorsqu'elles en font la vérification.
Il incombe aussi aux organisations de détecter le vol d'identité, lorsque l'information a été compromise, ainsi que la fraude d'identité lorsque les processus ont connu des ratés et qu'une fraude a eu lieu.
Au sein même des organisations, si on essaie de faire une entrevue auprès d'une organisation relativement au vol et à la fraude d'identité, les responsabilités pour ces deux problèmes sont réparties dans deux secteurs de l'organisation. Qui est chargé du problème lié à la sauvegarde des renseignements? Il s'agit habituellement des services de sécurité lorsqu'il s'agit de la sécurité physique et des services de TI lorsqu'il s'agit de la sécurité des systèmes. Qui est chargé du problème d'authentification? Quiconque contribue à la conception, la gestion, voire la conduite de tous les processus opérationnels entourant les différentes transactions.
Il y a de nombreux défis liés à la mesure du vol et de la fraude d'identité. Et tout cela revient au problème de la définition. Un sondage réalisé par Ipsos Reid en 2006 révèle que 29 % des Canadiens sont d'accord relativement à la déclaration suivante: « J'entends beaucoup parler de vol d'identité, mais je ne sais pas ce que cela signifie. » Donc, si on veut réaliser un sondage pour déterminer dans quelle mesure la fraude d'identité a eu lieu, on ne peut pas tout simplement demander aux répondants s'ils en ont déjà été victimes. C'est ce qui est fait dans bon nombre de sondages, mais on ne peut pas véritablement interpréter quoi que ce soit à partir de ces résultats. Dans notre sondage, nous avons donné des exemples bien précis des divers types de fraude d'identité qui nous intéressaient.
En plus d'effectuer des sondages, on peut examiner les rapports qui y ont été produits par des organisations comme le Centre antifraude du Canada, mais le deuxième problème qu'il faut alors affronter, c'est le manque général de rapports. Les fraudes par carte de débit et de crédit font l'objet d'enquêtes internes de la part des compagnies émettrices de cartes et des banques. Seule une petite partie de ces dossiers sont renvoyés à la police. Un sondage de Statistique Canada sur la fraude dans les entreprises de détail démontre qu'entre 40 et 50 % des dossiers n'ont jamais été signalés à la police. Moins de 40 % des victimes individuelles font rapport à la police.
Pourquoi en est-il ainsi? En général, les entreprises craignent la publicité négative. Les gens sont embarrassés de dire qu'ils ont été victimes d'escroquerie ou qu'ils n'ont pas protégé leur information. Je pense que, dans les deux cas, ils estiment que la police ne peut rien faire et, la plupart du temps, ils ont raison.
Pour ce qui est des coûts — et je suppose que cette question fait également partie de votre mandat —, le vol d'identité coûte très cher, et ce sont les particuliers, les organisations et les sociétés qui en assument les frais. Les victimes individuelles ne sont pas tenues responsables des pertes financières lorsqu'il est établi qu'une fraude a eu lieu, mais, pour en arriver là, les particuliers ont bien souvent dépensé beaucoup d'argent et de temps, ce qui engendre de la frustration et de l'anxiété.
Ce sont les organisations qui assument la plupart des pertes financières liées au vol et à la fraude d'identité. Cela se traduit par deux problèmes. D'abord, les organisations sont très réticentes à divulguer ces coûts. Deuxièmement, les coûts en tant que tels ne constituent pas des incitatifs assez puissants pour empêcher le vol et la fraude d'identité.
Lorsqu'une organisation subit des pertes liées à la fraude d'identité, ces pertes sont tout simplement transmises aux consommateurs sous forme de prix, d'honoraires ou de tarifs plus élevés. De surcroît, au Canada, le manque d'exigences quant à l'obligation de faire rapport lorsqu'il y a atteinte à la sécurité des renseignements signifie que les organisations canadiennes ne sont pas forcément touchées par une atteinte à leur réputation. À ma connaissance, le prendra des mesures dans cette direction, et je pense que c'est une bonne chose.
Il y a aussi les coûts généraux pour la société, qui ont des effets paralysants. En effet, différentes études, y compris la nôtre, démontrent qu'entre 20 et 40 % des consommateurs disent avoir rajusté leurs comportements en ligne par crainte de vol d'identité. Cela signifie que les entreprises canadiennes ne profitent pas de tous les avantages qu'elles devraient percevoir grâce au commerce électronique.
J'aimerais que votre étude porte sur deux éléments.
D'abord, j'aimerais que les agences d'évaluation du crédit soient plus ouvertes aux interventions des consommateurs. Comme je l'ai dit, la seule chose que peuvent faire les particuliers, c'est de contribuer à déceler les fraudes, mais si nous voulons que les consommateurs agissent ainsi, ils doivent avoir un plus grand accès et un meilleur contrôle sur leurs dossiers de crédit. Les agences d'évaluation du crédit doivent vous transmettre gratuitement, chaque année, une copie de votre dossier de crédit, mais elles rendent cette tâche très difficile. Pour obtenir un exemplaire gratuit, vous devez remplir un formulaire, copier une multitude de documents, envoyer le tout par la poste et attendre quelques semaines pour qu'on vous poste votre rapport. Les agences offrent aussi un service en ligne. Les services en ligne sont plus sécuritaires, et ils sont censés être moins coûteux pour les agences, mais elles facturent 24 $.
De plus, les deux agences d'évaluation du crédit offrent des produits de protection contre le vol d'identité qui coûtent de 15 à 17 $ par mois. En offrant ces produits, ils profitent du problème, ce qui ne les motive que très peu à vouloir en réduire ou en éliminer les menaces.
Enfin, il est très difficile de gérer quelque chose si on ne cherche pas à le mesurer. Nous avons besoin de collectes de données régulières et périodiques pour cerner les tendances et pour mettre au point des initiatives de sensibilisation efficaces et des politiques efficaces. Étant donné qu'il n'y a aucune mesure pour le vol d'identité et la fraude, nous estimons avoir véritablement besoin d'un indice du vol d'identité de la fraude qui fonctionnerait comme un indice des prix à la consommation ou un indice sur les activités d'achat. Cet indice serait calculé à partir de renseignements recueillis au moyen de sondages réguliers auprès des consommateurs, de sondages d'entreprises ainsi que de rapports des forces de l'ordre, des agences d'évaluation du crédit, des commissaires à la protection de la vie privée, des services aux victimes et de n'importe quel autre groupe.
Merci de m'avoir écoutée; j'espère vous avoir été utile.
:
Bonjour et merci, monsieur le président, mesdames et messieurs les membres du comité, de m'avoir invité à participer à vos délibérations.
Comme vous l'avez indiqué, je suis directeur du Centre international de criminologie comparée et je suis également titulaire de la Chaire de recherche du Canada sur la sécurité, l'identité et la technologie de l'Université de Montréal, où j'étudie la question du vol d'identité depuis environ sept ans.
Pendant les 10 minutes qui me sont accordées, j'aimerais aborder brièvement certains des enjeux rattachés à cette forme très complexe d'infractions et vous parler des préjudices que cela cause aux Canadiens. Mais avant d'aller plus loin, j'aimerais peut-être préciser que l'expression « vol d'identité » est peut-être quelque peu trompeuse, car elle sous-entend que la victime perd accès à son identité comme si elle perdait accès à une auto ou à son cellulaire, en cas de vol, alors que dans les faits, la victime est surtout privée de certains des avantages qu'on associe au plein contrôle de ses renseignements personnels, notamment une cote de crédit élevée ou la possibilité d'obtenir un prêt bancaire. Je crois qu'il serait plus utile d'utiliser l'expression « manipulation d'identité » ou « crime lié à l'identité », mais j'imagine qu'il est beaucoup trop tard maintenant pour changer cette terminologie. Toutefois, cela me semble être une question importante également.
J'estime que vous jouez un rôle très important ici et, en lisant la transcription des séances passées, je me suis rendu compte qu'on pouvait en apprendre énormément sur le processus et le rapport que vous produirez. Ainsi, dans mes commentaires d'aujourd'hui, je vais adopter un angle quelque peu différent puisque j'aimerais aborder brièvement quatre éléments que nous ignorons lorsque nous parlons de vol d'identité et je crois qu'en comblant ces lacunes, nous pourrons élaborer des stratégies de prévention efficaces ainsi que des outils de réglementation plus efficaces. Si vous voulez, il s'agit de ces incertitudes incontestables, pour reprendre l'expression d'un politicien américain très connu.
La première incertitude dont a parlé ma collègue Susan Sproule concerne l'ampleur actuelle du problème, à savoir le nombre réel de victimes et l'évolution de cette tendance. J'ai lu la transcription du témoignage de la GRC, et le représentant de la GRC a indiqué qu'en 2013, 24 000 victimes avaient communiqué avec l'organisation pour signaler des cas de vol d'identité. Il s'agit probablement d'une infime fraction d'un bassin général de victimes, car la plupart d'entre elles, comme l'a indiqué ma collègue, Mme Sproule, ne portent pas plainte formellement auprès des services de police. Certaines d'entre elles n'estiment pas le crime suffisamment important ou suffisamment intéressant, tandis que d'autres sont découragés par leur service de police local, lequel n'est pas équipé pour faire face à ce type de crime, notamment si les montants concernés sont inférieurs à un certain seuil.
Pour vous donner une idée d'une évaluation plus réaliste, en 2009, Statistique Canada a réalisé une enquête sur la victimisation auprès d'un très large éventail de la population canadienne et a évalué que plus de 870 000 Canadiens avaient été victimes de fraudes bancaires sur Internet au cours des 12 derniers mois, ce qui n'inclut pas d'autres formes de fraude associée au vol d'identité. Ces chiffres sont énormes, mais en matière de technologie, cinq ans constituent une très longue période et nous ne disposons pas de statistiques annuelles fiables pour évaluer la gravité du problème de vol d'identité et l'efficacité des stratégies actuelles pour le résoudre.
La deuxième chose que nous ne connaissons pas très bien, c'est que nous n'avons aucune ventilation claire des types de vol d'identité, en fonction des sources de justificatifs d'identité dérobés ou de stratagèmes de fraude dont se servent les auteurs de ces infractions pour les exploiter. J'ai réalisé une étude très semblable à celle qu'a menée Susan Sproule en 2007, au Québec, et cette étude a montré que les arnaques en ligne comme les courriels d'hameçonnage ne représentent que 6 % des renseignements personnels dérobés, tandis que le clonage de cartes ou le vol de renseignements personnels par des initiés organisationnels représentent 55 % des cas. Depuis lors, je n'ai pas vu de mises à jour concernant la situation au Canada, même si, là encore, la technologie a beaucoup changé au cours des sept dernières années et même si probablement une plus grande part des Canadiens effectuent leurs affaires et leurs transactions en ligne.
Troisièmement, nous ne connaissons pas grand-chose sur les voleurs d'identité et nous ne savons pas s'il s'agit d'une catégorie de contrevenants traditionnels qui ont migré vers ce nouveau marché lucratif ou s'il s'agit d'une toute nouvelle espèce de contrevenants dotés de compétences criminelles très différentes et de modes d'organisation sociale très différents.
Nous savons qu'un petit nombre d'entre eux connaissent un véritable succès et peuvent obtenir, par l'entremise de cyberattaques complexes, des millions de dossiers volés qu'ils revendent sur des marchés clandestins, comme cela a été le cas avec Winners ou, plus récemment, avec le piratage chez Target où des dizaines de millions, et dans certains cas des centaines de millions, de numéros de carte crédit ont été volés auprès de grands détaillants. Nous ne savons toujours pas grand-chose sur ces marchés, sur leur fonctionnement ou sur la part des renseignements volés qui appartiennent à des consommateurs canadiens.
Nous ne savons pas vraiment quelles organisations sont les plus efficaces, lesquelles sont les plus exposées et lesquelles font un bon travail pour prévenir le vol d'identité. Nous savons que les banques investissent une bonne part de leur argent dans les technologies antifraude. Elles sont très avancées et elles sont capables de détecter et de bloquer les tentatives de vol d'identité. Toutefois, nous ne savons pas laquelle de ces cinq ou six grandes banques est la meilleure ou laquelle est la pire ni quels sont les types d'entreprises de détail ou de service qui sont à l'origine de la plus grande fuite de renseignements personnels vers les contrevenants. Toutes les organisations ne sont pas sur un pied d'égalité face au problème du vol d'identité.
Vous allez peut-être me demander pourquoi il serait utile de le savoir. Eh bien, premièrement, cela nous aiderait à concevoir et à mettre en oeuvre des stratégies de prévention plus efficaces qui permettraient de cibler et de renforcer les maillons les plus faibles de l'écosystème des paiements.
Deuxièmement, nous en saurions également davantage sur la nécessité de créer de nouveaux outils réglementaires dans le domaine pour forcer les sociétés à protéger les renseignements personnels de leurs clients et de les aviser, le cas échéant, non seulement du point de vue des renseignements personnels, mais également du point de vue de la sécurité. Cela nous aiderait également à faire en sorte que ces outils réglementaires soient raisonnables et n'imposent pas un fardeau trop lourd aux entreprises.
Enfin, je crois que cela aiderait notre organisation et, tout spécialement, les organismes d'application de la loi à consacrer leurs ressources limitées aux réseaux les plus dangereux et les plus prolifiques de contrevenants.
Toutefois, je ne veux pas terminer sur une note pessimiste. Nous avons des raisons d'être optimistes. Nous ne devrions pas nous désespérer devant le problème du vol d'identité. Par exemple, l'intégration de la technologie de la puce et du NIP, au Canada, sur nos cartes de crédit et de débit au cours des dernières années, ainsi que les progrès des technologies antifraude déployées par le secteur bancaire ont permis de réduire grandement le nombre de vols et de fraudes d'identité s'y rattachant, ce qui montre que parfois les changements organisationnels peuvent produire des résultats systémiques à l'échelle nationale.
Par exemple, si vous regardez les statistiques d'Interac... J'ai obtenu ces statistiques sur Internet et je les ai compilées d'une manière un petit peu différente de celle d'Interac. Entre 2004 et 2012, les montants totaux de pertes attribuées à la fraude par Interac — si nous partons du principe que ces données sont justes — ont diminué de 36 %. Pendant la même période, le nombre de transactions réalisées par carte de débit a augmenté de 53 %. Ainsi, la fraude est en baisse et le nombre de transactions est à la hausse.
Pour ce qui est des cartes de crédit, nous observons une tendance semblable: les pertes totales entre 1999 et 2012 ont augmenté de 94 %, ce qui est énorme. Mais cela ne représente qu'environ la moitié des 212 % d'augmentation du montant total de transactions par carte de crédit au cours de la même période.
Ainsi, la perte monétaire moyenne par transaction Interac s'élève à environ 2 ¢, et la perte monétaire ou financière moyenne des transactions par carte de crédit s'élève à environ un sixième de 1 ¢. Ce rapport n'a pas vraiment changé au cours des 10 dernières années, ce qui est assez rassurant, car le problème du vol d'identité n'est pas aussi grave que certaines sociétés privées le laissent entendre.
Le problème que nous avons avec la puce et le NIP tient au fait, bien entendu, que nos voisins du Sud ont été plus lents à adopter cette technologie. Cela donne plein d'occasions aux contrevenants d'exploiter les données recueillies sur le dos des cartes de crédit et de débit et sur les bandes magnétiques.
Merci de m'avoir écouté. Cela met fin à mes remarques. Bien entendu, je me ferai un plaisir de répondre à vos questions. Merci.
:
Merci et bonjour à tous.
Merci de m'avoir invitée à vous parler du vol d'identité aujourd'hui. Depuis près de 10 ans, j'étudie cette question et je travaille dans ce domaine dans l'intérêt des consommateurs et des victimes. Je l'ai fait d'abord pour le Centre pour la défense de l'intérêt public, puis pour la Clinique d'intérêt public et de politique d'Internet du Canada, ou CIPPIC pour le Centre international pour la réforme du droit criminel et la politique en matière de justice pénale et plus récemment, pour le Centre de soutien aux victimes de vol d'identité du Canada.
Je vous ai remis mes notes d'exposé, assorties d'une liste de publications, et j'espère qu'on vous les distribuera. Dans la liste des documents, on trouve des analyses de la gamme et des types d'actes criminels associés à l'identité, un inventaire international des pratiques exemplaires pour aider les victimes dans le secteur public et le secteur privé, une analyse des différences entre les droits et les recours des victimes de crimes liés à l'identité au Canada et aux États-Unis et des guides destinés à aider les victimes canadiennes de vol d'identité à se débrouiller elles-mêmes. Tout cela est accessible en ligne.
Comme directrice du CIPPIC, j'ai présenté des témoignages à votre comité lorsqu'il s'est penché sur le vol d'identité en mai 2007. Mes exposés de l'époque sont encore pertinents aujourd'hui. Au cours des dernières années, des changements se sont produits, notamment une modification du Code criminel qui permet aux forces de l'ordre d'arrêter et de faire condamner des voleurs d'identité. C'est une étape importante, mais seulement l'un des nombreux outils nécessaires pour lutter contre ce problème. Il y a eu aussi la création du Centre de soutien aux victimes de vol d'identité du Canada qu'on peut trouver sur Internet à www.idtheftsupportcentre.org/fr/ ou qu'on peut joindre en composant sans frais le 1-866.802.3609. Mais on peut en faire bien davantage encore, et on devrait le faire, pour prévenir, dépister les vols d'identité, mener des poursuites et atténuer les effets des actes criminels contre l'identité.
Je crois savoir que vous vous intéressez aux répercussions économiques du vol d'identité au Canada et que vous vous concentrez sur les crimes liés à l'identité ou aux renseignements personnels et non pas aux fraudes commerciales ou à la cybercriminalité en général. Je ne peux pas vous fournir de chiffres. Pour les raisons données par mes collègues, je doute qu'il soit possible d'avoir une évaluation assez juste, compte tenu du manque de données sur les actes criminels liés à l'identité au Canada. Je vais plutôt utiliser le temps qui m'est imparti pour formuler cinq suggestions de réforme aux politiques et aux lois dans ce domaine.
Premièrement, il faut adopter une loi sur les avis à donner en cas d'atteinte à la sécurité des données. On peut prendre toutes les précautions recommandées pour se prémunir contre le vol d'identité, mais on n'a aucun contrôle sur ce que des organisations font des données personnelles dont elles ont la garde. En cette époque des bases de données, il faut des mesures solides de sécurité organisationnelle pour lutter contre le vol d'identité. Pourtant, pour faire des économies, nombre d'organisations ne prennent pas les mesures qu'elles devraient prendre pour protéger les données de leur clientèle.
Une loi pourrait exiger des organisations qu'elles fassent part à la commissaire à la vie privée de toute violation de la cybersécurité, et en aviser aussi les personnes touchées. Cette loi ferait beaucoup pour prévenir le genre d'atteinte à la sécurité qui assure la prospérité des voleurs d'identité. En outre, les victimes potentielles seraient conscientes de leur vulnérabilité, ce qui leur permettrait de prendre des mesures préventives avant que des torts graves soient subis. Je félicite à ce sujet les efforts de , membre du comité, et j'encourage le gouvernement à faire bon accueil à son projet de loi d'initiative parlementaire sur cette question.
Le projet de loi , qui porte sur la nouvelle loi sur la protection des renseignements personnels numériques, est un projet de loi d'initiative gouvernementale qui exigerait aussi des avis en cas d'atteinte à la sécurité, mais le mode de déclaration proposé fixe des critères trop restrictifs pour les déclarations à la commissaire à la vie privée et aux particuliers, ce qui permettrait aux entreprises d'éviter de s'acquitter de leur responsabilité lorsque leurs mesures de sécurité sont insuffisantes. Je sais que c'est un projet de loi que vous étudierez et j'espère que vous le ferez très soigneusement.
Deuxièmement, il faut que les lois sur la protection des données soient applicables. À notre époque, les bases de données personnelles sont énormes et en croissance. Ce sont des mines d'or pour les voleurs d'identité, comme pour les experts en marketing, les chercheurs et même les partis politiques. La Loi sur la protection des renseignements personnels et des documents électroniques, ou LPRPDE, est censée protéger les consommateurs contre des pratiques ouvrant la porte au vol d'identité et à la fraude, mais les pratiques qui enfreignent la LPRPDE sont encore répandues commercialement. Le problème, c'est que cette loi manque de mordant. Les entreprises ne la prennent pas au sérieux.
Le projet de loi sur la protection des renseignements personnels numériques permettrait à la commissaire à la vie privée de dénoncer les entreprises délinquantes. Le commissariat pourrait aussi prendre des mesures contre celles qui ne respectent pas les accords de conformité. Il s'agit d'améliorations considérables qui rendraient le projet de loi plus efficace, de manière qu'on puisse tenir responsables de leurs actes les organisations non conformes qui se prêtent à des pratiques facilitant le vol d'identité. Toutefois, il faut en faire plus pour que nos lois sur la protection des données numériques soient efficaces. J'espère que vous envisagerez toutes les suggestions lorsque le projet de loi vous sera confié.
Troisièmement, il faut pouvoir offrir un gel du crédit aux consommateurs canadiens. Le vol d'identité le plus dommageable donne lieu à l'ouverture de nouveaux comptes bancaires. En effet, des criminels se servent de données volées pour créer de nouveaux comptes ou demander du crédit, comme des prêts hypothécaires, au nom de la victime. Des mois peuvent passer avant que la victime se rende compte du problème. Pendant ce temps, de nombreux comptes ont été ouverts et les factures se sont accumulées en son nom. Même après que la victime a réussi à fermer les comptes et à rembourser les dettes, ce qui est déjà cauchemardesque, elle risque d'avoir à payer des taux d'intérêt supérieurs pendant des années, à cause d'un dossier de crédit entaché.
Cela ne se produit pas souvent, mais lorsque c'est le cas, c'est extrêmement coûteux pour la victime. La meilleure protection contre l'ouverture frauduleuse de compte, c'est le gel du crédit. Le gel du crédit empêche les agences d'évaluation du crédit de divulguer votre dossier de crédit, soit le résumé des emprunts et des paiements qui forment la base de votre dossier. Sans ce dossier, peu d'entreprises de crédit vont accorder un prêt. Par conséquent, si le rapport sur le crédit n'est pas divulgué, les voleurs d'identité ne peuvent pas se servir des données pour ouvrir de nouveaux comptes. Le gel du crédit est particulièrement utile pour les personnes âgées ou ceux qui n'ont pas besoin d'emprunter.
Pour des raisons évidentes, il n'est pas dans l'intérêt du secteur des agences d'évaluation du crédit d'offrir de bloquer des dossiers. C'est le principal service qu'elles offrent. Malgré une forte résistance de la part du secteur aux États-Unis, presque tous les États américains exigent maintenant que ce gel soit offert aux consommateurs, sans frais, ou à très faible coût. Et c'est pour prévenir le vol d'identité. On ne voit pas pourquoi les Canadiens ne pourraient bénéficier d'une protection semblable. C'est un domaine de responsabilité provinciale, mais à mon avis, le gouvernement fédéral devrait collaborer avec les provinces, par exemple, dans le cadre du Comité des mesures en matière de consommation pour veiller à ce que les consommateurs canadiens disposent des outils nécessaires pour prévenir, déceler et atténuer les effets des vols d'identité, notamment par la capacité de demander le blocage de leurs dossiers de crédit.
Quatrièmement, il faut coordonner les initiatives d'aide aux victimes. Le Centre de soutien aux victimes de vol d'identité du Canada, que j'appellerai maintenant le centre de soutien aux victimes, a été créé au début de 2012, grâce à des fonds fédéraux, pour renseigner et soutenir les victimes de vol d'identité. Son mandat est bien précis et limité. Le centre de soutien aux victimes reçoit actuellement environ 10 appels par jour provenant de victimes ou d'autres personnes se renseignant sur le vol d'identité. Il reçoit plus d'appels là où on fait connaître l'existence du centre. Il accompagne les victimes pas à pas, tout le long du processus complexe de recouvrement de leur identité.
Je crois comprendre que le centre de soutien aux victimes fournit des données au Centre antifraude canadien, mais étrangement, le Centre antifraude ne reconnaît même pas l'existence du centre de soutien aux victimes. Il est clair qu'il faut une meilleure coordination et collaboration entre ces organismes financés par les fonds publics, afin que chacun se concentre sur son mandat, plutôt que d'agir comme un rival de l'autre, pour obtenir l'attention du public et des fonds.
Cinquièmement, je propose que le Canada adopte une stratégie nationale de lutte contre la criminalité associée à l'identité. Les quatre mesures précédentes ne sont qu'un début, ce problème ayant de nombreux aspects. Le Canada doit avoir une stratégie nationale pour mieux comprendre la criminalité associée à l'identité, pour mieux lutter contre elle. Cette stratégie doit être confiée à de hauts fonctionnaires et nécessiter la participation de tous les intervenants clés. La stratégie nationale de la GRC, lancée en 2012, est un bon point de départ, mais il faut bien davantage de travail pour aller au-delà des généralités et tenir compte de la protection des consommateurs.
Le premier pilier d'une stratégie nationale devrait être la création de mécanismes de collecte de données fiables et assez complètes sur l'incidence, le type et le coût des actes criminels liés à l'identité au Canada. Là-dessus, j'abonde dans le sens de mes collègues, Mme Sproule et M. Dupont: c'est une première étape essentielle pour lutter contre ce problème. Il faut savoir quelle est la nature du problème si l'on veut le résoudre de manière efficace. Or, au Canada, nous n'avons tout simplement pas ces données encore.
Enfin, nous pouvons parfois tirer des leçons de ce qui se passe chez nos voisins du Sud, et je crois que c'est le cas ici. En 2006, le président américain a mis sur pied un groupe de travail spécial sur une stratégie nationale globale de lutte contre le vol d'identité. Le groupe de travail était coprésidé par le procureur général et le président de la commission fédérale du commerce. Y siégeaient les hauts responsables de tous les organismes gouvernementaux pertinents. En un an, le groupe de travail a examiné le problème sous tous ses angles et a publié un plan stratégique global de lutte contre le vol d'identité aux États-Unis. Ce plan a été, en grande partie, mis en oeuvre. Il comprenait une coordination nationale des réformes en matière de politiques et de lois. La commission fédérale du commerce en est responsable. Les consommateurs et les victimes aux États-Unis disposent maintenant de plus d'outils que les Canadiens pour prévenir le vol d'identité et pour réagir lorsqu'il se produit.
Monsieur le président, mesdames et messieurs les membres du comité, à mon avis, il est grand temps que le Canada s'occupe de cette question et mette au point une stratégie semblable grâce à la participation de tous les intervenants, y compris les organismes de protection des consommateurs et les commissaires à la protection des renseignements personnels des divers ordres de gouvernement.
Nous pouvons faire mieux.
Merci.